Вирус который создает новую учетную запись

Обновлено: 25.04.2024

вирус блокируещий права админа
это засранец даже антивирусник не дает поставить. как его грохнуть.

Вирус блокирует права администратора
Доброго времени суток, вчера 22.06 по своей не внимательности скачал, набор программ, типа амиго.

Вирус блокирует видео с ютуба, блокирует гугл и яндекс
Не даёт просматривать видео с ютуба, сам ютуб недогруженный, яндекс грузит нормально, кроме самого.

Баннер вирус. (autorun, вирус блокирует даже без.режим!) (ВАЖНО)
Доброго времени суток. Недавно друг подхватил баннер, который блокирует всю ОС и просит закинуть.

делайте , выкладывайте логи и лечитесь

Интересный момент. Обычно на ПК всегда одна учетная запись админа, и с учетом того, что программа смогла беспрепятственно урезать учетку в правах - сидели вы непосредственно из админской учетки.

Первая заповедь линуксоидов: не сиди под рутом.
На язык пользователей Windows: не сиди под учеткой администратора!
Именно следование этому несложному правилу может избавить от многих неприятных вещей.

Теперь возникает вопрос: как вы смогли создать новую учетку с правами админа, если для этого нужна учетка с правами админа?
Если создавали из битой админской учетки, то права у нее остались. Если так - то в чем заключается урезанность в правах?

1) я не программист и не продвинутый пользователь, но создать несколько учетных записей под Вистой Про - дело 2-5 минут максимум.
2) нет прав на открытие, запуск, изменение ВСЕХ программ, которые прописаны на компе, или хочу установить из под той учетной записи. То что получилось создать новую учетную запись с правами администаратора, когда вообще практически ничего не запускается . Но это факт, хотя больше из под этой учетки ничего сделать не могу. С другой все ок и запускается и удаляется и т.п. Знать бы что удалить еще.
3) Повторно запустил Касперского - нашел еще 9 зараженных архивов, вылечил/убил что не лечилось.
Но проблема остается.
Логи пришлю, просто может кто в курсе, что можно было сделать. Честно говоря, уже за два дня перепробовал кучу антивирусов, которые де-супер и помогают - эффект нулевой, только потраченное время.

SFOX, я вам предложил сделать то, что поможет избавится от этой проблемы. И чем быстрее вы это сделаете, тем быстрее наступит улучшение

Если сможете в течение часа сделать логи, значит смогу помочь. Нет - тогда скорее всего ждать придется долго. Или можете продолжать писать в эту тему, но в этом случае успеха никто не гарантирует.

Также:
1.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

2.Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Вирус блокирует браузер,анти вирус и другие программы
Скачал программу,в процессе установки появилось окно мол отправте смс для.

Вирус блокирует ВСЕ!
Помогите! Сегодня схватила вирус, он блокирует все антивирусы и не открывает офисные программы.

Это событие создает каждый раз, когда создается новый объект компьютера.

Это событие создается только на контроллерах домена.

Рекомендации см. в Рекомендации мониторинга безопасности для этого события.

XML события:

Необходимые роли сервера: Контроллер домена Active Directory.

Минимальная версия ОС: Windows Server 2008.

Версии события: 0.

Описания полей:

Тема:

Security ID [Type = SID]: sid of account that requested the "create Computer object" operation. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

Идентификатор безопасности (SID) — это уникальное значение переменной длины, используемое для идентификации доверяемого (доверителем безопасности). Каждая учетная запись имеет уникальный идентификатор безопасности, выданный центром сертификации, таким как контроллер домена Active Directory, который хранится в базе данных безопасности. Каждый раз, когда пользователь входит в систему, система получает идентификатор безопасности этого пользователя из базы данных и помещает ее в маркер доступа этого пользователя. Система использует идентификатор безопасности в маркере доступа для идентификации пользователя во всех последующих операциях с Безопасностью Windows. Если идентификатор SID использовался как уникальный идентификатор для пользователя или группы, он не может использоваться повторно для идентификации другого пользователя или группы. Дополнительные сведения о SID см. в разделе Идентификаторы безопасности.

Имя учетной записи [Type = UnicodeString]: имя учетной записи, запрашиваемой для операции "Создание объекта компьютера".

Домен учетной записи [Type = UnicodeString]: доменное имя субъекта. Форматы различаются и включают в себя следующее:

Пример имени домена NETBIOS: CONTOSO

Полное имя домена в нижнем регистре: contoso.local

Полное имя домена в верхнем регистре: CONTOSO.LOCAL

Для некоторых известных субъектов безопасности, таких как LOCAL SERVICE или ANONYMOUS LOGON, значение этого поля равно "NT AUTHORITY".

Logon ID [Type = HexInt64]: шестнадцатеричное значение, которое может помочь сопоставить это событие с недавними событиями содержащими тот же идентификатор входа, например: “4624: Учетная запись успешно вошла в систему.”

Новая учетная запись компьютера:

Security ID [Type = SID]: SID созданной учетной записи компьютера. Средство просмотра событий автоматически пытается разрешить идентификатор безопасности SID и отобразить имя учетной записи. Если идентификатор безопасности разрешить не удается, в событии будут отображены исходные данные.

Имя учетной записи [Type = UnicodeString]: имя созданной учетной записи компьютера. Например: WIN81$

Домен учетной записи [Type = UnicodeString]: доменное имя созданной учетной записи компьютера. Форматы различаются и включают в себя следующее:

Пример имени домена NETBIOS: CONTOSO

Полное имя домена в нижнем регистре: contoso.local

Полное имя домена в верхнем регистре: CONTOSO.LOCAL

Атрибуты:

Имя учетной записи SAM [Type = UnicodeString]: имя логотипа для учетной записи, используемой для поддержки клиентов и серверов из предыдущих версий Windows (имя логотипа Windows 2000). Значение атрибута sAMAccountName нового объекта компьютера. Например: WIN81$.

Отображение имени [Type = UnicodeString]: значение атрибута displayName нового объекта компьютера. Это имя, отображаемая в адресной книге для определенной учетной записи (обычно — учетная запись пользователя). Обычно это сочетание имени пользователя, среднего начального и фамилии. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Имя пользователя [Type = UnicodeString]: имя входа в интернет-стиле для учетной записи на основе стандарта RFC 822 в Интернете. По соглашению это должно соотносяться с именем электронной почты учетной записи. Этот параметр содержит значение атрибута userPrincipalName нового объекта компьютера. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Главная каталог [Type = UnicodeString]: домашний каталог пользователя. Если атрибут homeDrive задан и указывает букву диска, homeDirectory должен быть путем UNC. Путь должен быть сетевым UNC формы \\Server\Share\Directory. Этот параметр содержит значение атрибута homeDirectory нового объекта компьютера. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Home Drive [Type = UnicodeString]: указывает букву диска, к которой необходимо соотвести путь UNC, указанный атрибутом учетной записи homeDirectory . Буква диска должна быть указана в форме DRIVE\_LETTER: . Например — H: . Этот параметр содержит значение атрибута homeDrive нового объекта компьютера. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Путь скрипта [Type = UnicodeString]: указывает путь сценария логотипа учетной записи. Этот параметр содержит значение атрибута scriptPath нового объекта компьютера. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Путь профиля [Тип = UnicodeString]: указывает путь к профилю учетной записи. Это значение может быть null string, локальный абсолютный путь или путь UNC. Этот параметр содержит значение атрибута profilePath нового объекта компьютера. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Рабочие станции пользователей [Type = UnicodeString]: содержит список имен NetBIOS или DNS компьютеров, с которых пользователь может логотипировать. Каждое имя компьютера разделено запятой. Имя компьютера — это свойство sAMAccountName объекта компьютера. Этот параметр содержит значение атрибута userWorkstations нового объекта компьютера. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Последний набор паролей [Type = UnicodeString]: последний раз, когда пароль учетной записи был изменен. Для созданной вручную учетной записи компьютера с Пользователи и компьютеры Active Directory оснастки это поле обычно имеет значение . Для учетной записи компьютера, созданной во время стандартной процедуры пользования доменом, это поле будет содержит время, когда был создан объект компьютера, так как пароль создается во время процедуры пользования доменом. Например: 08.12.2015 11:41:39. Этот параметр содержит значение атрибута pwdLastSet нового объекта компьютера.

Истекает срок действия учетной записи [Type = UnicodeString]: дата истечения срока действия учетной записи. Этот параметр содержит значение атрибута accountExpires нового объекта компьютера. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Идентификатор основной группы [Type = UnicodeString]: относительный идентификатор (RID) основной группы объектов компьютера.

Относительный идентификатор (RID) — это номер переменной длины, который назначен объектам при создании и становится частью идентификатора безопасности объекта (SID), который однозначно идентифицирует учетную запись или группу в домене.

Как правило, поле Primary Group для новых учетных записей компьютера имеет следующие значения:

516 (Контроллеры домена) — для контроллеров домена.

521 (Контроллеры домена только для чтения) — для контроллеров домена только для чтения (RODC).

515 (Доменные компьютеры) — для серверов-членов и рабочих станций.

Дополнительные сведения см. в известных директорах безопасности. Этот параметр содержит значение атрибута primaryGroupID нового объекта компьютера.

AllowedToDelegateTo [Type = UnicodeString]: список spNs, к которым эта учетная запись может представлять делегированные учетные данные. Можно изменить с Пользователи и компьютеры Active Directory консоли управления в вкладке Делегирования учетной записи компьютера. Как правило, она устанавливается для - новых объектов компьютера. Этот параметр содержит значение атрибута AllowedToDelegateTo нового объекта компьютера. Дополнительные сведения см. в описании поля AllowedToDelegateTo для события "4742: изменена учетная запись компьютера".

Имя главного клиента службы (SPN) — это имя, с помощью которого клиент однозначно идентифицирует экземпляр службы. Если вы устанавливаете несколько экземпляров службы на компьютерах по всему лесу, каждый экземпляр должен иметь свой собственный SPN. В данном экземпляре службы может быть несколько spNs, если существует несколько имен, которые клиенты могут использовать для проверки подлинности. Например, spN всегда включает имя хост-компьютера, на котором работает экземпляр службы, поэтому экземпляр службы может зарегистрировать SPN для каждого имени или псевдонима своего хоста.

Старое значение UAC [Type = UnicodeString]: указывает флаги, которые контролируют пароль, блокировку, отключение/включение, скрипт и другое поведение для учетной записи пользователя или компьютера. Старое значение UAC всегда для 0x0 новых учетных записей компьютера. Этот параметр содержит предыдущее значение атрибута userAccountControl объекта компьютера.

Новое значение UAC [Type = UnicodeString]: указывает флаги, которые контролируют пароль, блокировку, отключение/включение, скрипт и другое поведение для учетной записи пользователя или компьютера. Этот параметр содержит значение атрибута userAccountControl нового объекта компьютера.

Чтобы расшифровать это значение, можно пройти через определения значений свойств в "Таблице 7". Флаги UAC учетной записи пользователя или компьютера". от крупнейшего до наименьшего. Сравните каждое значение свойства со значением флагов в событии. Если значение флагов в событии больше или равно значению свойства, свойство "set" и применяется к этому событию. Вычитать значение свойства из значения флагов в событии и обратите внимание, что флаг применяется, а затем перейдите к следующему флагу.

Вот пример: значение Флаги из события: 0x15

> 0x0020 0x15, поэтому PASSWD_NOTREQD не применяется к этому событию

> 0x2 0x1, поэтому ACCOUNTDISABLE не применяется к этому событию

0x1 = 0x1, поэтому SCRIPT применяется к этому событию. 0x1 - 0x1 = 0x0, мы закончили.

Таким образом, это значение флагов UAC декодирует: LOCKOUT и SCRIPT

Управление учетной записью пользователя [Type = UnicodeString]: показывает список изменений атрибута userAccountControl . Вы увидите строку текста для каждого изменения. Для новых учетных записей компьютера при создания объекта для этой учетной записи считалось значение userAccountControl, 0x0 а затем оно было изменено с реального значения для атрибута userAccountControl 0x0 учетной записи. Возможные значения см. в таблице ниже. В столбце "Текст поля управления учетной записью пользователя" можно увидеть текст, который будет отображаться в поле **** управления учетной записью пользователя в событии 4741.

Таблица 7. Флаги UAC учетной записи пользователя или компьютера.

Параметры пользователя [Type = UnicodeString]: если вы измените любой параметр с помощью консоли управления Пользователи и компьютеры Active Directory в вкладке Dial-in свойств учетной записи компьютера, вы увидите в этом поле в "4742(S): учетная запись компьютера была изменена". Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

История SID [Type = UnicodeString]: содержит предыдущие СИД, используемые для объекта, если объект был перемещен из другого домена. Всякий раз, когда объект перемещается из одного домена в другой, создается новый SID и становится объектомSID. Предыдущий SID добавляется в свойство sIDHistory . Этот параметр содержит значение атрибута sIDHistory нового объекта компьютера. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - .

Часы logon [Type = UnicodeString]: часы, в которые учетная запись может быть относяться к домену. Значение атрибута logonHours нового объекта компьютера. Для компьютерных объектов он необязателен и обычно не за набором. Этот атрибут можно изменить с помощью Пользователи и компьютеры Active Directory или, например, с помощью сценария. Вы увидите значение для новых созданных учетных записей компьютера в случае 4741.

Дополнительные сведения:

Привилегии [Type = UnicodeString]: список привилегий пользователей, которые использовались во время операции, например SeBackupPrivilege. Этот параметр может не быть захвачен в событии, и в этом случае отображается как - . Полный список привилегий пользователей см. в таблице ниже:

Таблица 8. Привилегии пользователей.

Рекомендации по контролю безопасности

Для 4741 (S): была создана учетная запись компьютера.

В этом событии также см. рекомендации по мониторингу безопасности для многих событий аудита.

Если политика мониторинга информационной безопасности требует от вас контроля за созданием учетной записи компьютера, отслеживайте это событие.

Неизвестный контакт Владелец, Неизвестная учотная запись(S-1-5-21-346171. другие пользователи Windows 7

Общие обсуждения

У меня возникла проблема, чтобы вам было легче понять суть, описываю подробно всё что произошло с компьютером за последнее время :

Описание проблемы:

Раньше были у меня 2-а ком. с ОС Win XP и Windows 7, между ними создал СЕТЬ Роутер D-Link, потом один комп продал (с ОС Win XP).

Возникла проблема в создании нового пользователя (любого, или админа, или простого пользователя), он создавался, но в окне приветствия не отображался, просто написано: "другой пользователь" и надо было вводить и логин и пароль. Искал в интернете, толком ничего (все говорили что надо переустанавливать винду, а причины неизвестны). Переустановил Windows - (теперь Пользователи отображаются в окне приветствия) но, возникла новая проблемы (подозрение на вирус) с ОС Windows 7, в списке безопасность "Неизвестная учетная запись (S-1-5-21-346171. )" с полным доступом к данной папке, не смог проверить все папки на компьютере ибо их слишком много, но почти у всех что проверил есть Неизвестная учетная запись. Опять переустановил Windows, но перед тем проверил Kaspersky Virus Removal Tool 2010, нашел несколько вирусов(которые давно были, но другие антивирусы молчали)-дал полную очистку. С доса, програмой от Kaspersky "Rescue Disk 10", на основе Linux, проверил весь компьютер-ничего (((, также почему-то не удалялась папка ($RECYCLE.BIN)и всё что в ней.

После перестановки , думал всё пройдет, но НЕТ. Поставил с нуля, полное ФОРМАТИРОВАНИЕ и Первичного раздела, и Зарезервированного системой, создал 3-пользователя (1. открыл Админа(для установки программ и т.п.), 2. для роботы (тож админ), и 3. простой пользователь ), и теперь (кроме "Неизвестная учетная запись(S-1-5-21-346171. ") в свойствах папок - общий доступ создался какой то " Неизвестный контакт " с правами Владелец. А, и чуть не забыл, сразу после установки захожу в папку а мне пишет "У вас нет прав доступа к папке" открыть ?, жму Да, долго что то делает, а потом пускает в папку.

И вот что меня интересует:

1. Кем или чем создана "Неизвестная учетная запись (S-1-5-21-346171. )" .

"Неизвестная учетная запись (S-1-5-21-346171. )" - можна удалить, но 100 папок, клацать по каждой - это трудоемко и не реально. Если этого пользователя можно удалять, то как автоматезировать этот процесс?

2. И что это за " Неизвестный контакт " с правами Владелец которого нельзя удалить?

3. Или это серьезный ВИРУС ?

С системами работаю 7-ой год, но с таким сталкиваюсь впервые.

Конфиг системы:

"Виндовс"
"Драйвера"
1. Video карта
2. nForce4
3. Webcam (автоматично)
4. Звукова (автоматично)
5. Hp380 принтер (автоматично)
"Kaspersky Internet Security 2011"
"Acronis True Image Home 2011"
"Acronis Online Backup"
"Тоtal Соmапdeг Версия 7.50КС1 32 ЬИ (13.8.2009)"
1. Wise Disk Cleaner
2. Wise Registry Cleaner
"Mozilla Firefox 4.0"
"FastStone 4.0"
"Adobe Reader X"
"DjVuEditor 6.0"
"Microsoft Office 2010"
"Мова екранних підказок у системі Microsoft 2010"
"Opera 11.01"
"Adobe Flash Player 10.2"
"SkypeSetupFull 5.3.0"
"ICQ 7.4"
"µTorrent2.2"
"IMegan Lisa Jones"
"FineReader 10"
"AIDA64"
"AVITrimmer"

Все ответы

Что-то сомнительно, что эта запись появилась после новой установки Win 7.

Ее мог создать касперский, акроникс или еще какая из списка ваших программ.

Так что ищите. Можно опять переустановить win и после установки каждой проги проверять.

это системная учетная запись смотрим ПКМ мой компьютер -> управление -> Локальные пользователи и группы -> пользователи и смотрим кто там есть

Било бы всё так просто! Там был в первую очередь , но .

Что-то сомнительно, что эта запись появилась после новой установки Win 7.

Ее мог создать касперский, акроникс или еще какая из списка ваших программ.

Так что ищите. Можно опять переустановить win и после установки каждой проги проверять.

"Что-то сомнительно, что эта запись появилась после новой установки Win 7."

Неизвестная учетная запись (S-1-5-21-346171. )-сразу после установки была

Да уж, похоже, что дистрибутив - "сборка" А такое здесь не обсуждается. К слову сказать, сменить владельца папок можно быстро, если эта запись прописалась в корне диска. В этом случае включаете наследование и меняете владельца на себя. Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

У меня Лицензионный Win 7, установленный с лицензионного диска ! Устанавливал с этого диска винду не раз, и никогда не было проблем ! А что с "в окне приветствия не отображался новый пользователь, просто написано: "другой пользователь"" с чем это связано ?

Если уж лицензионный, и так вышло что там какой то неизвестный затисался, Зайдите с в дополнительные параметры системы - управление профилями - и удалите этого неизвестного, предварительно создав учетную запись с правами Администратора на всякий пожарный. и пройдитесь по безопасности начиная с системного диска и посмотрите остался ли там этот индивид. Если есть то удаляйте спокойно. MCP,MCTS

При переустановки виндовс администротивная запись остаётся заменяется цифровым значением. Вы установили виндовс на старую запись вот и результат это не вирус эта ваша запись. Приятной работы.

При переустановки виндовс администротивная запись остаётся заменяется цифровым значением. Вы установили виндовс на старую запись вот и результат это не вирус эта ваша запись. Приятной работы.

У меня тоже такая учетная запись в системе. Раньше страдал параноей по поводу вируса. Но дело в предыдущих системах. Папки, созданные в предыдущих системах имеют неизвестного владельца (S-1-5-21-346171. ). Папки созданные в Windows 7 - нет.

Судя из постов сверху, человек радикально отнесся к переустановке, и переформатил все что можно. Так что вариант хвостов от старой системы отпадает. MCP,MCTS

У меня такаяже хрень с 7-ой Profeshional,переустановка не помогает ,после очередной перезагрузки она появляется в свойствах папок во вкладке безопасность. Удалял её в ручную-закалебался. А кто такая и откуда ,непонятно. Может кто подскажет ,что-это. Появляется в свойствах папок во вкладке безопасность примерно такая запись:Неизвестная учетная записьS-1-5-21-и полно цифр дальше через тире,а последние три -100 ,102 или103

Странно, конечно. Компы в сети? Может зараза какая гуляет.

вот что нашел за 2 минуты гуглинья:

Скрытый пользователь
Здравствуйте. Не подскажете как создать скрытого пользователя в win7, знаю что в реестре можно.

Скрытый пользователь с правами админа (пароль забыт) и выполнение установки драйверов
Допустим есть компьютер с Windows 10 (но может и 8/7, завтра узнаем. ). Нужно поставить на компе.

Предположу, что речь идет об утилите AVBR. Только повторно её запускать не нужно. Она не проверяет наличие или отсутствие этого пользователя и записи в Hosts.

Видно только нежелательное ПО и адварь. Почистим:

Внимание! Рекомендации написаны специально для пользователя Frozen Thoughts. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Auslogics BoostSpeed
AusLogics BoostSpeed 10.0.9.0
Dll-Files Fixer
IObit Driver Booster 8.1.0.252
IObit Malware Fighter 8
IObit Uninstaller 10
Process Hacker 2.39 (r124)
Smart Defrag 6

Да, перепутал, запускал AVBR, также выдает 2 этих окна и перезагружает ПК, скрины прикладываю.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Auslogics BoostSpeed
AusLogics BoostSpeed 10.0.9.0
Dll-Files Fixer
IObit Driver Booster 8.1.0.252
IObit Malware Fighter 8
IObit Uninstaller 10
Process Hacker 2.39 (r124)
Smart Defrag 6

повторно её запускать не нужно. Она не проверяет наличие или отсутствие этого пользователя и записи в Hosts

если она не удаляет скрытого пользователя и Не чистит Hosts, есть возможность сделать это как-то еще ?

AdwCleaner[C01].txt - этот файл тоже покажите.

"Не проверяет" и "не удаляет" - чувствуете разницу?
Программа удаляет в первый же раз. Поэтому повторно её запускать нет смысла.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Да, это я понял. Спросил потому что AVBR не доводит до конца сканирование и самопроизвольно перезапускает ПК, отсюда и возникают вопросы.

Извиняюсь, уже по привычке очистил старые логи, думал, не понадобятся.

Из чего вы делаете такой вывод?
Что было сделано и что нет можно определить по логу AV_block_remove.log из папки ..\AV_block_remover, если он у вас сохранился. Но это не обязательно. По остальным логам итак видно, что майнера и его следов уже нет.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Еще майнер, скорее всего, что-то сделал с системой восстановления. Кнопка горит серым, через некоторое время появляется ошибка. Выяснил, что из регистра была удалена служба теневого копирования, попробовал создать ее вручную по инструкции - результатов не дало.

Решение

Спасибо большое, проделал все вышеперечисленное, все замеченные неполадки ушли. Функция восстановления полностью заработала

Хорошо. В завершение:

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Остальные утилиты лечения и папки можно просто удалить.

Читайте также: